История одного вируса



    По мотивам этого топика, я как любопытный гик скачал этот вирус и прогнал данный файлик через сервис Virustotal и был очень удивлён результатами что только 2 из на данный момент 42 антивирусов, считали этот файл «Подозрительным».

    Мне стало интересно, а сколько собственно времени потребуется антивирусным компаниям что-бы узнать об этом вирусе и внести его в свои базы. Более одной недели я терпеливо прогонял один и тот же файл через их базы, смотрел что изменилось, вносил результаты в табличку.

    Возможно полученные результаты покажутся тебе %habrauser% интересными.
    За подробностями, милости прошу под кат.

    Статистика


    Всего было проведено 15 проверок в период с 30 мая 16:55 по МСК (В дальнейшем, всё время будет указано по МСК) по 11 июня 00:56. На момент публикации данного топика, вирус обнаруживался 30 из 42 антивирусами (71,4%).

    За этот период, вирус стали обнаруживать следующие антивирусы:
    AhnLab-V3, Avira AntiVir, Antiy-AVL, Avast, Avast5, AVG, BitDefender, ClamAV, Comodo, DrWeb, F-Secure, Fortinet, Gdata, Ikarus, K7AntiVirus, Kaspersky, McAfee, McAfee-GW-Edition, Microsoft, NOD-32, nProtect, Panda, PCTools, Symantec, TheHacker, ThendMicro, TrendMicro-HouseCall, VBA32, VIPRE, VirusBuster.

    Если вы пользуетесь одним из этих антивирусов то это значит что ваш антивирус относительно безопасен для повседневного использования.

    Следующие антивирусы так и не начали обнаруживать этот вирус после 10 дней:
    CAT-QuickHeal, Commtouch, eSafe, eTrust-Vet, F-Prot, Jiangmin, Norman, Prevx, Rising, Sophos, SUPERAntiSpyware, ViRobot

    НО, какая же бы это была статистика если бы не было более подробной статистики.
    Таблица ниже говорит сама за себя:
    Дата Обнаруживает антивирусов Какие антивирусы добавились Ссылка на отчёт
    30 Мая, 16:55 2 Panda, Kaspersky Тыц
    30 Мая, 18:20 1 (WTF?) — Kaspersky Тыц
    30 Мая, 18:51 2 + DrWeb Тыц
    30 Мая, 20:20 3 + Kaspersky Тыц
    31 Мая, 00:15 5 + Comodo, NOD32 Тыц
    31 Мая, 02:09 6 + AVG Тыц
    31 Мая, 12:19 13 + AVAST, AVAST5, BitDefender, Emsisoft, F-secure, Gdata, Ikarus Тыц
    31 Мая, 14:20 12 (WTF?) — F-Secure Тыц
    31 Мая, 15:03 13 + Avira AntiVir Тыц
    31 Мая, 17:56 15 + F-Secure, Microsoft, nProtect Тыц
    1 Июня, 10:35 17 + AhnLab-V3, Symantec, Vipre Тыц
    1 Июня, 22:01 21 + ClamAV, PCTools, VirusBuster Тыц
    3 Июня, 16:30 25 + VBA32, Gdata, TheHacker Тыц
    5 Июня, 03:05 28 + Fortinet, K7Antivirus Тыц
    11 Июня, 00:56 30 + TrendMicro, TrendMicro-HouseCall Тыц

    И миленький график:


    Интересным местом является 30 Мая, 18:20 и 31 Мая, 14:20, в этих местах, те антивирусы которые ранее уже обнаруживали этот вирус, вдруг перестали его обнаруживать. С чем это связано я к сожалению так и не понял.

    Вы можете найти небольшие несостыковки между количеством антивирусов и списком добавленных антивирусов, например 13+3 != 15, это связано с тем что периодически, Virustotal убирает и добавляет антивирусы (Убирает видимо на тот момент, пока обновляются базы).

    Вывод


    Получилась, казалось бы довольно логичная картина, что все хоть сколь нибудь популярные антивирусы уже обнаруживает данный зловред, а всякие noname антивирусы могут себе позволить пропустить 1 или 2 вируса.

    Прошу не расценивать данный топик как пиар той или иной антивирусной продукции. Только голые факты. Вывод о пользовании тем или иным антивирусом, вам уже стоит сделать самостоятельно.

    Надеюсь моё маленькое исследование показалось вам интересным.
    Если вы нашли какие-либо ошибки, пожалуйста, дайте мне знать.
    Постараюсь ответить на любые возникшние у вас вопросы.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 56

      +15
      По поводу Антивируса Касперского. До 31 Мая, 02:09 сэмпл детектится как UDS:DangerousObject.Multi.Generic (детект по базе Kaspersky Security Network, можно сказать, эвристика), затем его исследуют в вирлабе и дают нормальную сигнатуру (Trojan-PSW.Win32.VKont.bhh).
      Скорее всего, этим можно объяснить исчезновение детекта 30 Мая, 18:20.
        +1
        скорее всего generic сигнатура сконфликтовала с чем-то невирусным
          +1
          Допустим с Kaspersky мы разобрались, а что скажете по поводу F-Secure?
            +1
            F-Secure использует базы от Kaspersky
          +12
          Занятно, 15 антивирусов отрегаривали в течении суток. В моем понимании, это хороший результат.

          Правда мне не очень понятно как вирустотал обновляет базы антивирусов и с какой периодичностью. А это важный показатель.
            +2
            Судя по тому, как менялась реакция Касперского, базы они обновляют, как минимум, раз в два часа.
            0
            У вас остался этот зловред? Можно архив попросить, с паролем 1 к примеру?)
              +5
              Держите, пароль к архиву — habrahabr
                +3
                Огромное спасибо… //стряхнул пыль с IDA Pro.
                  +5
                  Ждем результатов! ;)
              0
              а не запомнили время когда вы выложили сам вирус? Тоесть на сколько быстро среагировали Panda и Kaspersky.
                0
                На тот момент как я провёл первый отчёт, Panda и Kaspersky уже обнаруживали этот антивирус, поэтому к сожалению более подробной информации у меня нету :(
                +1
                Нужно заметить, что не стоит воспринимать единичный случай за показатель скорости для тех или иных компаний. Для того, чтобы картина была более полной таких экспериментов нужно как минимум с десяток.

                В остальном хороший пост, спасибо.
                  0
                  Разумеется. Тем не менее я считаю что полученная картина даёт более или менее точное представление о скорости реагировании той или иной антивирусной компании.
                    0
                    Вот я как раз говорю о том, что не факт. Потому что источники получения новой информации антивирусными компаниями могут быть разные от случая к случаю, отсюда и результаты могут сильно отличаться.
                      0
                      Насколько я знаю, virustotal передаёт информацию о подозрительных файлах всем антивирусным компаниям, так что можно считать что все они были приблизительно в одинаковых условиях.
                        0
                        Не считая той, которая написала этот «подозрительный файл».
                          0
                          Пруф?
                          Кроме того, даже если это окажется так, то остаётся вопрос в том, кто первый передаст информацию в VirusTotal. Первым передаст тот, кто её первый обнаружит.
                            0
                            www.virustotal.com/terms.html

                            When you submit a file to VirusTotal for scanning, we may store it and share it with the anti-malware and security industry (normally the companies that participate in VirusTotal receive the samples that their engines do not detect and are catalogued as malware by at least one other engine). The samples can be analysed by automatic tools and security analysts to detect malicious code and to improve antivirus engines.

                            Your personal data may also be anonymised and used for statistical purposes.
                              0
                              Убедительно :)
                              Тем не менее я бы не стал полагаться на результаты одного теста.
                                +2
                                Но всё же один тест это первый тест из вероятной серии, это гораздо лучше чем ничего.
                    0
                    Скажите, а какой антивирус уже обнаруживал вирус на момент самой первой проверке? Не похоже, что он присутствует в таблице, т.к. в ней вы приводите только антивирусы, в которых вирус начал распознаваться уже впоследствии.
                      +1
                      Самая первая строчка в таблице это и есть первый отчёт.
                        0
                        Ага, ок, я вижу, вы уже поменяли текст. Изначально было написано, что только один антивирус обнаруживал этот вирус; это несколько сбило с толку.
                          +1
                          Да, виновен. Простите :(
                            0
                            http:// virtest. com / log.php?dir=332900&id=c4a0ecf65106d4422434e8c8f11fa8e8
                      –1
                      Вообще это аверам выгодно. Как, помнится, поступал сантехник в одном фильме.
                        +2
                        Немецком фильме?
                          0
                          С Сашей Грей в главной роли, ага :)
                          Простой пример: если я буду ремонтировать краны хорошо, то скоро у меня не будет работы.
                          А так: стрррррашшный Вирус, пожрал БД и.т.д. Кто же нас спасёт? Дядя Женя, кто же ещё. Если вовремя всё патчить, то никто угроз особо и не заметит. Пуст зверьки погуляют на свободе, а потом Дядя Женя на них сафари устроит. Так то.
                            0
                            Если вы будете ремонтировать краны хорошо в России у вас всегда будет работа. Я гарантирую это.
                              0
                              Ну, мы уже немного поменяли тему и отошли от абстракций.
                        0
                        ПОЛНОСТЬЮ не релевантный тест, virustotal отсылает проверяемые файлы антивирусным компаниям, то есть тестирование автора повлияло на результаты, и если бы этот файл регулярно не скармливался вирустоталу, результаты были бы другие. Для получения достоверных данных нужно пользоваться хакерскими сервисами проверки, типа scan4you, которые НЕ отсылают файлы антивирусным компаниям.
                          +5
                          Не соглашусь. Тут можно сказать все антивирусные компании в одинаковых условиях, всем был отправлен сэмпл в одинаковое время и тест отражает сколько времени требуется каждой компании на реагирование.

                          Когда я начал проверять этот файл на Virustotal, он во первых уже был однажды там проверен и процесс уже был запущен. Разумеется, тест где сэмплы не отсылаются антивирусным компаниям являются намного более точным но в данном конкретном случае мы расмотрели скорость реакции антивирусных компаний при наличии у всех компаний сэмпла этого вируса.
                            +2
                            но в реальной жизни-то сэмплы попадают благодаря пользователям, а значит по-разному. потому ваш тест от реальной жизни и отличается.
                            условный пример: допустим у антивируса №1 большая часть покупателей — домохозяйки. они допустим реже отправляют подозрительные файлы к тестерам, хоть у этого антивируса и самая оперативная команда анализа. а у антивируса №2 в основном программисты, которые, чуть что приложение не так себя ведёт, — сразу шлют тестерам. я уже не говорю, что и у вирусов своя ЦА, и от её корреляции с ЦА антивируса будет зависеть скорость начала распознавания. как пример — антивирус с основной ЦА — людей не сидящих в соц. сетях очевидно будет дольше всех узнавать конкретно этот вирус.
                            потому и результаты у вас по сути — средняя тепература по больнице.
                              +1
                              Мы говорим о 2 разных исследованиях.

                              То о чём говорите вы — Это «время жизни» вируса в ваакуме где ни один пользователь не отправит его на virustotal или на другой подобный сервис.

                              То о чём написал я — Скорость реакции антивирусных компаний при наличии сэмла вируса.

                              Я не отрицаю что на заказ написанный вирус может вполне успешно жить неделями, но с тем условием что никто не будет отправлять его на анализ.
                            +2
                            вы имеете в виду, что по результатам сканирования одним антивирусом файл отправляется к тестерам другой?
                              0
                              именно так, вирустотал это делает давно, и не скрывает этого. Именно поэтому тест показывает только, насколько каждая антивирусная компания уделяет внимание семплам с вирустотала, высылаемых им в автоматическом режиме, не более того
                            +3
                            Подлые слуги империи авиров спокойно тырят базы у друг друга.
                            Одна контора обнаружила малварьку, выложила опдейт и через денёк-другой отправила остальным.

                            А буржуйские авиры запаздывают, ну это и понятно — им как-бы пофик на наши вконтактики)
                              0
                              А где же бесплатная Avira? Печаль, печаль…
                                +1
                                Avira Antivir
                                31 Мая, 15:03
                                  0
                                  Автор уже исправил.
                                    0
                                    Исправил я уже после комментария пользователя AFC :) Признатся тоже не понял что Antivir == Avira Antivir.
                                0
                                Самый здравый способ — написать вирус, разослать на тестовые компы, поставить себе гору антивирей (от конфликтов — выделить по машине для каждого антивиря), и прогонять тесты. Правда не очень гуманный этот способ, и зависит от качества и опасности вируса
                                  –1
                                  VirtualBox?
                                    0
                                    Для отслеживания результатов — да, можно виртуальными машинами. А для распространения, чтобы его вообще засекли, нужны разные машины, да и желательно географически тоже, а то первыми сработают наши
                                      0
                                      Многие вирусы сейчас умеют обнаружить факт запуска себя в виртуальной машине, и просто не запуститься.
                                    0
                                    Для чистоты эксперимента хорошо бы указать версии использованных продуктов. Есть ли такая возможность?
                                      0
                                      Нажмите на интересующий вас отчёт и там будет целая колонка с версиями.
                                      0
                                      мне кажется если перекачать по той ссылке флешплеер, то он не будет палиться ни одним авиром, ибо они очень часто чистят свои вирусы(криптуют), это же их доход.
                                        0
                                        Незнаю как у вас, но у меня «та ссылка» уже не работает.
                                          0
                                          ну значит новая ссылка просто, домены регаются по 100 рублей=) домен попал в стоп-лист, регнули новый.
                                        0
                                        Только голые факты.
                                        Если вы пользуетесь одним из этих антивирусов то это значит что ваш антивирус относительно безопасен для повседневного использования.
                                        Что-то здесь не так…

                                        Не говоря уже о логике и смысле последней фразы :)
                                          0
                                          Интересно… по большому счету результаты не могут быть показателем качества антивирусов. Но каким то образом среди первых оказались именно наиболее популярные антивирусы с хорошей репутацией. А это уже наверное показатель того, что доверяют им совсем не зря!
                                            +2
                                            Крайне интересная статья, однако имеется ряд объективных моментов, искажающих статистику.
                                            1. Самплы могли попасть в вирлабы задолго до их публикации на ВТ, который, как известно, немедленно их расшаривает всем лабораториям.
                                            2. У вирлабов может быть различный приоритет обработки на самплы, пришедшие через канал ВТ.

                                            Надеюсь, что в скором времени мы подготовим примерно аналогичную статистику по скорости добавления новых самплов, загруженных через официальную форму и присланную по почте. Пока заминка в поиске новых, заведомо не детектируемых образцов. Когда работа будет проделана — обязательно покажем на Хабре.
                                              0
                                              На вирусы, ориентированные на Россию, реакция у российских антивирусов быстрее.
                                                0
                                                Потроллить чтоль: антивирусы зло! Процессорное время и затраченная электроэнергия почти всегда не сравнится с последствиями атаки (системы с важными данными защищаются иначе). Несколько раз случайно сталкивался с зловредом напрямую, но в вирустотал его на тот момент не определял.

                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                Самое читаемое